Des escrocs détournent les commentaires LinkedIn pour diffuser de faux avertissements de restriction, renvoyer vers un formulaire malveillant et siphonner des identifiants de connexion.
Selon les observations relayées par BleepingComputer, une campagne de phishing circule depuis quelques jours sur LinkedIn en exploitant un format inhabituel. Des commentaires, publiés sous des posts, imitent la plateforme et évoquent une restriction temporaire du compte, renvoyant vers un lien externe censé permettre de déposer un recours ou de vérifier son identité. Un dispositif d’autant plus efficace qu’il joue sur l’urgence et ressemble suffisamment à un avertissement pour faire douter, en particulier sur mobile, où l’on scrolle vite et où l’on lit souvent en diagonale.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
De faux avertissements de restriction plus vrais que nature (ou presque)
Sans grande surprise, les commentaires incriminés sont publiés par des comptes et des pages qui reprennent l’identité visuelle de LinkedIn et un nom proche sans être officiel. Le texte accuse la cible d’activités non conformes, évoque une limitation d’accès au compte, puis impose une action immédiate présentée comme un appel à soumettre ou une vérification d’identité via une URL externe.
Dans l’un des cas décrits par BleepingComputer, le lien renvoie vers une adresse en netlify.app, un hébergement qui permet de mettre en ligne rapidement une page, de la mettre à jour facilement, puis de la retirer une fois signalée. Le commentaire s’appuie aussi sur l’aperçu de lien, qui reprend un message de sécurité standard, « À titre préventif, l’accès à votre compte est temporairement restreint. Nous prenons des mesures pour protéger votre compte lorsque nous détectons des signes d’accès potentiellement non autorisé. Cela peut inclure des connexions depuis des lieux inhabituels ou… », avant d’orienter la victime vers l’étape suivante, souvent matérialisée par un bouton de vérification ou de poursuite de la procédure.
La collecte des identifiants intervient ensuite sur une autre adresse, distincte, qui affiche une page de connexion imitant LinkedIn. L’objectif est le contrôle du compte, avec l’accès à la messagerie, au réseau professionnel, à l’historique des échanges et, dans certains cas, à des pages d’entreprise administrées.
Une fois compromis, le compte peut servir à relayer la campagne auprès d’un réseau qui fait confiance à l’expéditeur, à mener des fraudes par messagerie (demandes de paiement, faux échanges de recrutement, envoi de fichiers piégés) et à alimenter des attaques plus ciblées en exploitant les informations du profil et des conversations, tandis que des accès plus élevés peuvent permettre de publier au nom d’une page, de modifier des informations, voire d’intervenir sur des paramètres et des campagnes publicitaires.
Pour éviter le vol de compte, méfiance et MFA partout
Sur ce type de campagne, le repère le plus fiable tient au canal employé. Une restriction de compte ne se traite pas sous un post, via un lien glissé dans un commentaire par un compte au nom approximatif. Si un message vous pousse à « faire appel » ou à « vérifier votre identité » en dehors de LinkedIn, le bon geste consiste à ne rien suivre et à vérifier l’état du compte depuis un accès direct, en ouvrant l’application ou le site par vos propres moyens, puis en consultant les notifications et les paramètres de sécurité dans l’interface officielle.
La suite se joue souvent sur un détail que le regard finit par négliger, l’émetteur. Les pages usurpées reprennent logo et codes graphiques, mais elles trahissent généralement un nom proche sans être exact, un historique faible, une activité trop fraîche, parfois une page quasiment vide, peu ou pas suivie, qui en disent bien plus long sur son authenticité que son identité visuelle usurpée.
Vient ensuite la question des liens. Une URL qui n’appartient pas aux domaines officiels de LinkedIn n’a aucune légitimité pour gérer un compte LinkedIn, même si le texte parle d’appel ou de conformité, et même si la page affichée semble soignée.
Dans tous les cas, si le lien a été ouvert sans saisie d’identifiants, refermez la page puis signalez le commentaire et le compte qui l’a publié afin d’en limiter la diffusion, LinkedIn indiquant être au courant et travailler à corriger le problème. En revanche, si des identifiants ont été saisis, il faut traiter la situation comme un vol de compte, en changeant immédiatement votre mot de passe LinkedIn, en activant la double authentification si ce n’est pas déjà fait, puis en vérifiant les connexions et les appareils associés, sans oublier de faire remonter l’incident auprès de la plateforme.
Source : BleepingComputer
